EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
ベトナム - 個人情報保護に関する政令13/2023/ND-CP
ベトナムJBSアップデート2023年5月
本アップデートの主なポイントは以下のとおりです。
- 適用範囲と規制対象者の分類
- 個人情報及び処理の定義
- 同意の有効性
- データ主体の権利
- 個人情報保護影響評価
- 機微な個人情報の処理及び国境を越えた個人情報の移転
- マーケティング、商品プロモーション事業における個人情報保護
- 個人情報保護責任者(DPO)の役割
- 個人情報保護当局
- 個人情報保護のための措置
- 必要とされる対応
2023年4月17日、個人情報保護に関する政令13/2023/ND-CP(以下、政令13)が発行されました。政令13はベトナムにおける個人情報保護に関する初めての統合的かつ包括的な法文書であり、今後、ベトナムの個人情報保護法制がEU一般データ保護規則(以下、GDPR)のような国際的な標準へ近づく一歩となる可能性があります。
政令13は、2023年7月1日の施行まで2カ月を切っており、ベトナムにおける個人情報処理の現状に大きな影響を与えることが予想されます。本法務アップデートでは、政令13の主要なポイントとビジネスへの影響について紹介します。
1. 国外に及ぶ適用範囲
過去に公開されていた政令第2草案では、適用対象について簡潔な内容のみが含まれていましたが、政令13では、適用対象として、ベトナムで個人情報処理の活動に直接従事する、または関係している、ベトナム国内及びオフショアの事業体が含まれると明記されています。
2. 規制対象のカテゴリー拡大
政令13は、個人情報の管理者(「管理者」)と個人情報の処理者(「処理者」)、個人情報管理者兼処理事業者(「管理・処理者」)と「第三者」という概念を、以下のように導入しています。この内容は「サイバーセキュリティ分野の行政罰に関する政令案」でも示されています。
- 管理者とは、個人情報の処理の目的及び手段を決定する法人または個人を指します。
- 処理者とは、データ管理者との契約または合意により、データ管理者に代わって個人情報の処理を行う事業体または個人を指します。
- 管理・処理者とは、個人情報の処理の目的及び手段を決定し、個人情報を直接処理する事業者または個人を指します。
- 第三者とは、データ主体(個人情報の主体である個人)、管理者、処理者、管理・処理者とは別に、個人情報の処理を許可されている組織または個人を指します。
この管理者と処理者という区分は、GDPRの概念を政令13が採用したことを示しています。過去に公開されていた政令草案では管理者と処理者の役割を厳密に区別せず処理者という用語のみを使用していたことと比べると、この区分は、全く新しいものです。
一企業が、管理者の役割(例:従業員の個人情報を管理する雇用主など)を果たすと同時に、他の種類の個人情報の処理者(例:サービスプロバイダーなど)の役割を果たすような、複雑な事業運営状況においては、各企業が自身の役割を適切に特定し、政令13の下でそれぞれの役割に課せられた異なる義務を適切に順守することが不可欠です。
3. 個人情報及び個人情報処理の広範な定義
個人情報とは、記号、文字、数字、画像、音声などの形式で表現された電子媒体上の情報で、特定の自然人に関連付けられるもの、または特定の自然人の特定に寄与するものをいいます。
従前の政令草案と同様に、政令13は個人情報を「基本個人情報」と「機微な個人情報」の2つに分類しています。政令13において規定されているこの2分類に属する個人情報のリストは、個人情報保護を確実かつ最大化するべく、非常に広範な内容となっています。
個人情報の処理とは、収集、記録、分析、検証、保管、修正、開示、結合、アクセス、トレーサビリティ、検索、暗号化、復号化、複製、共有、送信、提供、移転、削除、破壊またはその他の関連する活動を含む、個人情報に影響を及ぼす1つまたは複数の活動とされています。
4. 同意の有効性
政令13に規定される個人情報処理の基本原則の一つに「透明性」があり、これは、個人情報の処理活動についてデータ主体が認識していることを確保するための原則です。この観点から、以下の5.に示す例外的な場合を除き、個人情報処理について事前に同意を得て、通知することが義務付けられています。
政令13では、同意が有効であるための様々な要件が詳しく規定されています。
- 同意の許容される形式及び形態:データ主体による同意は、書面、音声での同意、同意欄にチェックを入れることやテキストメッセージによる同意文、同意設定の選択、または当該同意を示すその他の行為によって、明確かつ具体的に表現されなければなりません。また、同意は、電子的またはその他の検証可能な形式を含め、プリントアウトまたは書面で複製できる形式で表明されなければなりません。
- データ主体の意思及び意識:同意は、(1)処理目的、(2)処理される個人情報の種類、(3)個人情報の処理を許可される主体、及び(4)データ主体の権利と義務など、処理活動に関するデータ主体の十分な理解に基づいて、自発的に行われる必要があります。
- 一目的への同意:データ処理の目的が複数ある場合、データ主体は、そのうちの1つまたはいくつかについて同意することができるとされています。部分的または条件付きの同意は、データ主体の裁量に委ねられます。
- データ主体が意思表明をしない場合や、回答のない場合は、同意とは見なされません。
- 同意は、データ主体が同意を撤回するか、所轄官庁から書面で要請があるまで有効です。
5. データ主体の同意を得ずに個人情報の処理が行われる場合
データ主体の同意は、2023年2月7日付決議13/NQ-CPで採択された以下の場合に免除されます。
- データ主体または他者の生命または健康を保護するために、関連する個人情報を直ちに処理する必要がある緊急の場合。
- 個人情報の開示が法令に基づく場合。
- 管轄の国家機関が処理を行う場合であって、国家防衛、国家安全保障、社会秩序及び安全、大規模災害、危険な疫病に関する緊急事態が発生した場合、緊急事態を宣言しなければならないほどではないが、安全保障及び国家防衛に脅威がある場合、または、暴動やテロ、犯罪、法律違反の予防及び対処のために法律に基づき行われる場合。
- データ主体と、その関係の機関、組織、個人との間の契約上の義務を履行するための処理として法律に規定される場合。
- 分野別の法律で規定された国家機関の活動を支援するための処理である場合。
6. データ主体の権利
政令13は、データ主体の権利として、(ⅰ)知る権利、(ⅱ)同意する権利、(ⅲ)アクセスする権利、(ⅳ)同意を撤回する権利、(ⅴ)個人情報を削除する権利、(ⅵ)個人情報処理を制限する権利、(ⅶ)個人情報の提供を要求する権利、(ⅷ)個人情報処理に異議を申し立てる権利、(ⅸ)苦情、非難、訴訟を提起する権利、(ⅹ)損害賠償請求権、(ⅺ)自衛する権利という11の権利を定めています。
上記の権利のうち、アクセスする権利の行使については、そのためのプロセス、要求の形式、内容が定められています。
政令13の政令案からの変更点としてさらに注目すべき点は、個人情報の処理を制限する権利、個人情報処理に異議を申し立てる権利、個人情報の提供を要求する権利、アクセスする権利、個人情報を削除する権利といった、前述のいくつかの権利に関して、データ主体の要求に対する対応期限(72時間)が設定されたことです。
7. 個人情報保護影響評価
政令13では、個人情報処理のすべてのケースにおいて、管理者、管理・処理者、処理者は、所定の書式で必須内容を含む個人情報処理影響評価に関する書類を作成し、公的に提出しなければならないとされています。この書類は、処理開始後60日以内に、サイバーセキュリティ・ハイテク犯罪防止局(以下「A05」)に送付し、審査を受けなければなりません。この書類は、常時更新され、当局の検査に対して提示可能なよう常備しなければなりません。
これは、影響評価報告書を機微な個人情報の処理と個人情報の国境を越えた移転にのみ必要としていた政令草案に比べて、より厳しい要件となっています。
8. 機微な個人情報の処理と国境を越えた個人情報の移転
政令13では、政令草案にみられた、機微な個人情報の処理や個人情報の国外移転に関する事前登録は規定されていませんが、その代わり、以下の要件が定められています。
- 機微な個人情報を処理する場合:管理者、管理・処理者、処理者は、前述の個人情報保護影響評価を作成し、当局へ通知し、常備するという要件を順守する必要があります。
- 個人情報の国境を越えた移転:同様に、個人情報の国境を越えた移転については、移転後の審査のために、越境移転影響評価書類をA05に提出することが義務付けられます。ベトナム人の個人情報を越境移転する者は、(1)必須事項を含む越境移転影響評価書類を作成し、(2)処理の開始から60日以内にA05に送付し、審査を受け、(3)移転完了後に越境移転の責任者の詳細をA05に通知しなければならないとされています。また、同書類は、常時更新され、当局がいつでも閲覧できるよう常備しなければなりません。
9. マーケティング、商品プロモーション事業における個人情報保護
マーケティング及び広告サービスの提供者は、データ主体の同意を得た上で、自らの事業活動の過程で収集した顧客の個人情報を、マーケティングの提供や広告商品の紹介にのみ使用することができます。データ主体は、商品紹介の内容、方法、形式、頻度について通知される必要があります。
10. 個人情報保護責任者(以下「DPO」)
政令13により、ベトナム法制で初めてDPOの役割が法定されました。機微な個人情報を保護するための措置の一環として、管理・処理者及び処理者は、個人情報保護を担当する部署(以下、DPD)及びDPOを設置し、当該DPD及びDPOを公安省すなわちA05に通知することが求められています。
小規模企業、中小企業、新興企業は、個人情報処理業務を直接行う企業を除き、設立後2年間はDPD及びDPOの設置要件が免除されるとされています。
11. 個人情報保護当局
過去に公開されていた政令草案では、個人情報保護のための新しい専門機関である個人情報保護委員会が示されていましたが、政令13では、A05が管轄当局となり、ベトナムのサイバーセキュリティと個人情報保護に関する事項を並行して管轄するとされています。
12. 個人情報保護のための措置
政令13では、個人情報保護のための措置は、個人情報の処理の初期段階から実施され、全体を通して維持されなければならないと義務付けられています。
個人情報の処理に関連する組織及び個人は、以下の責務を負うとされています。
(1) 経営管理的な措置と技術的な措置を実施すること。
(2) 個人情報保護に関する内部規程を整備し、適用すること。
(3) 関連分野、産業に適した個人情報保護基準を適用すること(オプショナル)。
(4) 個人情報の処理を開始する前に、個人情報処理のためのシステム、手段、及び機器のネットワークセキュリティを確認すること。個人情報を含む機器について、復元不可能な削除または破壊を行うこと。
(5) 前述のデータ主体の権利保護を達成するための措置を実施すること。
機微な個人情報については、処理される情報が機微な個人情報であることをデータ主体に通知しなければならないとされています。
13. 必要とされる対応
上記を踏まえて、ベトナム人またはベトナムに居住する外国人の個人情報の収集及び処理に関与するベトナム国内の法人及び国外の法人は、以下の対応を求められることになります。
(1) データセキュリティ及び個人情報保護に関する規制の最新情報を常に把握する。
(2) 政令13の要求事項と、自社の実務上の対応を比較するギャップアセスメントを実施する。
(3) 自社のサイバーセキュリティの成熟度を評価し、個人情報漏えいのリスクをもたらす可能性のあるITシステムの脆弱(ぜいじゃく)性及び弱点を特定する。
(4) 個人情報保護に関する自社のフレームワーク、ポリシー、手順を、政令13に沿って策定または見直す。
(5) 個人情報の処理及び越境移転に関する影響評価を作成する。
(6) 機微な個人情報を処理する場合にはDPD及びDPOを設置する。
(7) 自社・組織内の従業員に向けた個人情報保護啓発コンテンツを作成する。
(8) 既存の同意フォームをレビューする。
(9) 既存の契約書テンプレートを、個人情報取扱いに関して見直し、改訂する。
(10) 政令13に沿った経営管理的措置及び技術的措置を設定する。
Contacts
Hanoi Office
Anh Thuy Pham | Senior Manager | Vietnam Law
EY Law Vietnam Limited Liability Company
Thanh Tat Vu | Senior Manager | Cybersecurity and Technology Risk
EY Vietnam Cybersecurity Services Company Limited
Minh Tran Hai Le | Manager
EY Vietnam Cybersecurity Services Company Limited
Japanese Business Services
Takaaki Nishikawa | Director
Ernst & Young Vietnam Limited
Korean Business Services
Kyung Hoon Han | Director
Ernst & Young Vietnam Limited
Ho Chi Minh City Office
Michael Beckman | Partner
EY Law Vietnam Limited Liability Company
Thach Thi-Cam Tran | Senior Manager
EY Law Vietnam Limited Liability Company
Robert Tran | Partner
EY Vietnam Cybersecurity Services Company Limited
Japanese Business Services
Takahisa Onose | Partner
Ernst & Young Vietnam Limited
Korean Business Services
Dong-ho Park | Director
Ernst & Young Vietnam Limited
Chinese Business Services
Owen Tsao | Director
Ernst & Young Vietnam Limited
EY | Building a better working world
EY exists to build a better working world, helping to create long-term value for clients, people and society and build trust in the capital markets.
Enabled by data and technology, diverse EY teams in over 150 countries provide trust through assurance and help clients grow, transform and operate.
Working across assurance, consulting, law, strategy, tax and transactions, EY teams ask better questions to find new answers for the complex issues facing our world today.
EY refers to the global organization, and may refer to one or more, of the member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients. Information about how EY collects and uses personal data and a description of the rights individuals have under data protection legislation are available via ey.com/privacy. EY member firms do not practice law where prohibited by local laws. For more information about our organization, please visit ey.com.
© 2023 EY Law Vietnam Limited Liability Company. All Rights Reserved.
01159-226Jpn
ED None
This material has been prepared for general informational purposes only and is not intended to be relied upon as accounting, tax, legal or other professional advice. Please refer to your advisors for specific advice.